개요
애플리케이션 포털(브라우저를 통한 내부 앱 접근) 포털은 사용자가 인터넷을 통해 안전한 터널을 설정하여 내부 회사 자원에 접근할 수 있도록 합니다. 이 서비스는 SDP 연결을 요구하지 않지만, 사용자가 라이선스가 있는 SDP 사용자여야 합니다. 이 매뉴얼은 일반적인 브라우저를 통한 내부 앱 접근 문제를 논의하고 이를 해결하기 위한 문제 해결 단계를 제공합니다.
증상
-
애플리케이션 포털에 접근하는 사용자는 접근 거부 페이지를 받습니다
- 애플리케이션이 브라우저를 통한 내부 앱 접근 포털에 표시되지 않습니다
- 애플리케이션 로딩이 실패합니다.
-
웹 애플리케이션에 콘텐츠가 누락되었습니다
-
웹 애플리케이션의 콘텐츠 형식이 잘못되었습니다. 예를 들어, 요소들이 페이지에 무작위로 배치되고, 텍스트가 잘못된 글꼴 크기로 되어 있으며, 이미지가 올바르게 정렬되지 않는 등의 문제가 있습니다.
- 브라우저를 통한 내부 앱 접근에서는 앱이 시간 초과됩니다. SDP 클라이언트 사용자는 정상적으로 작동합니다.
가능한 원인
- 잘못된 구성
- HTTP 프로토콜의 사용과 웹 애플리케이션이 다른 콘텐츠에 대한 절대 HTTP 링크를 포함합니다
문제 해결
이 섹션에서는 일반적인 애플리케이션 포털 문제에 대한 문제 해결 단계를 조사합니다.
사용자가 애플리케이션 포털에 접근할 수 없음
사용자가 접근 > 애플리케이션 포털 > 설정에 지정된 포털 URL을 사용하여 애플리케이션 포털에 접근할 때, 접근 거부 메시지가 표시됩니다.
- 서브도메인에 특수 문자가 포함되지 않았는지 확인합니다. 하이픈과 같은 문자는 지원되지 않습니다. 서브도메인에 특수 문자를 사용했는지 검증하는 방법에 대한 지침은 서브도메인을 변경하여 특수 문자를 제외합니다.
- 사용자가 라이선스가 있는 SDP ( 사용자인지 검증합니다. 라이선스가 할당된 사용자만 브라우저를 통한 내부 앱 접근 포털에 접근할 수 있습니다. 이것을 검증하는 방법에 대한 지침은 사용자에게 라이선스 할당을 참조하십시오.
- SSO 인증이 활성화되고 "단일 로그인으로 로그인 허용"이 선택된 경우(접근 > 단일 로그인), 사용자의 도메인이 허용된 도메인에 포함되었는지 확인합니다.
- 이벤트에서 명백한 오류를 확인합니다. 홈페이지 > 이벤트로 이동하여 아래와 같이 필터를 추가합니다.
브라우저를 통한 내부 앱 접근 포털과 관련된 모든 이벤트가 표시됩니다. 아래는 접근 거부 이벤트의 예시입니다.
애플리케이션이 애플리케이션 홈페이지에 나타나지 않음
사용자가 브라우저를 통한 내부 앱 접근 포털에 로그인할 때, 특정 애플리케이션이 나타나지 않습니다.
- 애플리케이션이 접근 > 애플리케이션 포털 > 애플리케이션에 추가되어 있는지 검증합니다. 여기에 추가되지 않은 경우, 애플리케이션 포털 홈페이지에 반영되지 않습니다.
- 사용자가 애플리케이션에 접근할 수 있는지 확인합니다. 그렇지 않으면 애플리케이션의 홈페이지에서 볼 수 없습니다. 이는 접근 > 애플리케이션 포털 > 접근 정책에서 수행할 수 있습니다.
- 이러한 문제를 해결하는 방법에 대한 지침은 브라우저 접근 포털에 애플리케이션 추가 및 허용된 사용자에 대한 접근 정책 구성을 참조하십시오.
애플리케이션 로딩 실패
애플리케이션 아이콘을 클릭하면 브라우저가 콘텐츠를 표시하지 않을 수 있으며, 애플리케이션은 타임아웃될 때까지 로딩 상태를 유지합니다.
위의 상황이 발생하면 다음 데이터를 수집하십시오:
- 애플리케이션 서버가 호스팅된 사이트의 소켓에서 PCAP 캡처를 수집하는 방법은 소켓에서 트래픽 캡처하는 방법을 참조하세요. 웹 서버의 IP 주소 및 포트 80 또는 443을 CMA에 애플리케이션에 대해 구성된 포트에 따라 필터링하십시오.
- 웹 서버에서 TCP 트래픽 흐름이 있는지 확인하십시오. 그렇지 않은 경우 서버로의 로컬 연결성을 확인하십시오. NAT 없이 내부 서버로 도달하는 트래픽은 공인 IP 주소에서 소스됩니다.
- 내부 네트워크로/로부터의 적절한 라우팅을 위해 NAT IP 범위를 사용하는 것이 필요한지 확인하세요. NAT IP 범위 없이, 내부 서버로 도달하는 트래픽은 공인 IP 주소에서 소스됩니다.
-
2단계에서 TCP 트래픽이 확인된 경우, 다음 단계에 따라 애플리케이션에 접근하면서 브라우저를 통한 내부 앱 접근을 통해 HAR 파일을 수집하세요:
- 브라우저를 통한 내부 앱 접근에서 페이지의 아무 곳이나 우클릭하고, 컨텍스트 메뉴에서 "검사"를 선택하세요.
-
오른쪽 상단 모서리에 있는 설정 버튼을 클릭하세요. 이 옵션은 Chrome에서 사용할 수 있습니다. 다른 브라우저를 사용 중인 경우, 단계 4로 진행하세요.
- 선호도 > 전역 아래에서 '팝업에 대해 DevTools 자동 열기'를 선택하세요.
-
브라우저를 통한 내부 앱 접근에서 애플리케이션을 클릭하세요. 두 번째 탭이 열립니다. 여기에서 녹화를 진행해야 합니다. 브라우저가 이 두 번째 탭에서 자동으로 녹화되지 않는 경우(단계 3), 다음 단계에서 이 작업을 수동으로 실행해야 합니다.
- 문제를 재현하고 HAR 파일을 수집하려면 HAR 데이터 수집 방법의 지침을 따르세요.
- 이 정보를 추가 조사를 위해 Cato 지원에 제출하세요. Cato 지원에 사례 제출하기를 참조하세요.
- HAR 파일이 내부 도메인으로의 리디렉션을 보여주는 경우, 외부 브라우저는 내부 네트워크로 DNS 해석을 수행하지 않으므로 이를 해결할 수 없습니다. 이것은 현재 브라우저를 통한 내부 앱 접근 솔루션의 제한이며, 사용자는 SDP 클라이언트를 통해 Cato에 연결해야 합니다.
이 정보를 추가 조사를 위해 Cato 지원에 제출하세요. Cato 지원에 사례 제출하기를 참조하세요.
웹 애플리케이션이 형식 문제를 보여줍니다
웹 애플리케이션의 형식은 문제를 보이며, 요소가 페이지에 무질서하게 배치되고, 텍스트가 일관되지 않은 글꼴 크기로 표시되며, 이미지가 잘못 정렬됩니다. 이 문제는 고객이 HTTP 프로토콜을 사용하여 브라우저를 통한 내부 앱 접근을 통해 웹 애플리케이션에 액세스하고, 웹 애플리케이션의 HTML 코드가 다른 콘텐츠로의 절대 HTTP 링크를 포함하는 경우에 발생할 수 있습니다. 브라우저를 통한 내부 앱 접근 연결이 HTTPS에서 작동하기 때문에, 현대 웹 브라우저는 HTTP 콘텐츠에 대한 접근을 제한할 것입니다. 이를 "혼합 콘텐츠"라고 흔히 부릅니다.
이 문제를 겪고 있는지 확인하려면 다음 단계를 따르세요.
- 애플리케이션에 접근하는 동안 브라우저를 통한 내부 앱 접근을 통해 HAR 파일을 수집할 수 있습니다. 자세한 지침은 HAR 데이터 수집 방법을 참조하세요.
-
문제가 이 경우 웹 개발자 도구는 혼합 콘텐츠 블록을 표시하며, 웹사이트에 대한 연결이 안전하지 않음을 경고합니다.
- 페이지에서 아무 곳이나 마우스 오른쪽 버튼을 클릭하고 "페이지 소스 보기"를 선택하십시오 이렇게 하면 웹사이트의 소스 코드가 열립니다.
-
아래 예시와 같이 "http://"로 시작하는 모든 링크를 검사합니다:
<link href="http://nms-ubuntuserver.via.catonetworks.com/css/bootstrap.min.css" rel="stylesheet" type="text/css" />
- 소스 코드에 HTTP 링크가 있는 것이 브라우저가 콘텐츠를 차단하는 이유입니다.
-
이 문제를 해결하기 위해 형식 문제에 설명된 제안을 따르세요.
브라우저를 통한 내부 앱 접근에서는 앱이 시간 초과됩니다. SDP 클라이언트 사용자나 사이트 사용자는 정상적으로 접근할 수 있습니다.
포털은 로드되지만 그 뒤에 있는 앱은 열리지 않습니다. 클라이언트 기반 SDP 앱에 있는 사용자나 Cato 소켓 뒤에 있는 사용자는 모든 것에 정상적으로 접근할 수 있습니다. 브라우저를 통한 내부 앱 접근을 통해 접속하는 사용자는 애플리케이션을 열려고 할 때 시간 초과에 걸립니다.
참고: 브라우저 기반 원격 액세스는 SNAT IP 범위와 사이트의 IP 범위 사이의 중첩을 지원하지 않습니다.
예시로, 브라우저를 통한 내부 앱 접근은 10.60.10.0/24 같은 NAT 범위를 사용하고 있습니다. 동시에 네트워크는 Cato로 10.0.0.0/8과 같은 더 넓은 경로를 광고하고 있습니다. 10.60.10.0/24가 10.0.0.0/8 블록 안에 있기 때문에, 플랫폼은 반환된 트래픽을 사이트 자체의 서브넷과 중첩된 것으로 봅니다. 트래픽이 브라우저를 통한 내부 앱 접근 사용자에게 돌아가려 할 때, 플랫폼은 라우팅 루프를 방지하기 위해 트래픽을 삭제합니다. 이는 더 넓은 /8 경로가 패킷을 사용자 대신 사이트 쪽으로 끌어오기 때문입니다. 이 중첩은 플랫폼이 브라우저를 통한 내부 앱 접근 트래픽에 대한 깨끗한 반환 경로를 설치하는 것을 방해합니다.
문제를 해결하려면 SNAT 및 계정 경로를 검증하세요.
- 브라우저를 통한 내부 앱 접근에 대해 구성된 SNAT IP 범위를 식별하세요.
- 계정 > 네트워크 아래의 라우팅 테이블로 이동하세요. 모든 계정 경로를 확인하고 SNAT 범위와 중첩되는 것이 없는지 확인하세요. 데이터 없음은 라우팅 테이블에 중첩이 존재하지 않음을 의미합니다.
- 중첩이 존재하는 경우:
- 충돌을 제거하기 위해 라우팅 구성을 조정하세요.
- BGP 광고 경로가 SNAT 범위를 포함하지 않도록 하세요.
발견된 문제 해결
잘못된 구성
위에서 언급한 많은 문제들이 구성과 관련이 있습니다. 잘못 구성된 영역을 식별한 후 문제 해결을 통해 문제를 해결할 수 있습니다.
특수 문자를 포함하지 않도록 서브도메인 변경
클라우드 액세스 > 단일 사인온으로 이동하여 서브도메인 필드에 특수 문자가 없는지 확인하십시오. 이 요구 사항은 브라우저 접근 포털 구성에서도 언급되어 있습니다. 서브도메인 변경의 영향에 대한 자세한 내용은 계정 이름 및 서브도메인 변경을 참조하십시오.
사용자에게 라이선스 할당
클라우드 액세스 > 사용자 > 사용자 디렉토리로 이동하여 브라우저 접근 포털에 접근 중인 사용자가 라이선스된 SDP 사용자임을 확인합니다
사용자에게 라이선스를 할당하려면 SDP 사용자에게 라이선스 할당을 참조하십시오
브라우저 접근 포털에 애플리케이션 추가
애플리케이션 포털 > 애플리케이션으로 이동하여 애플리케이션이 추가되었는지 확인합니다. 구성 세부 정보는 브라우저 접근 포털용 애플리케이션 관리를 참조하십시오.
허용된 사용자를 위한 접근 정책 구성
클라우드 액세스 > 애플리케이션 포털 > 접근 정책으로 이동하여 사용자가 애플리케이션에 접근할 수 있는지 확인합니다. 구성 세부 정보는 브라우저 접근 정책 정의를 참고하십시오.
형식 문제
해결책은 애플리케이션의 소스 코드를 수정하는 것입니다. 브라우저가 혼합 콘텐츠를 차단하는 책임을 가지고 있으며, Cato가 아닙니다. 고객에게 HTML 코드에서 절대 링크(http://로 시작하는 링크)를 상대 링크로 변환하도록 권장합니다. 상대 링크는 프로토콜 상대 또는 루트 상대가 될 수 있습니다.
예를 들어, 다음과 같은 링크를 가지고 있을 경우:
href="http://www.mywebsite.com/css/stylesheet.css"프로토콜 상대 링크는 다음과 같습니다:
href="//www.mywebsite.com/css/stylesheet.css"
루트 상대 링크는 다음과 같은 모양일 것입니다:
href="/css/stylesheet.css"절대 및 상대 링크에 대한 추가 정보는 절대 대 상대 URL를 참조할 수 있습니다.
카토 지원에 사례 제기
위의 문제 해결 단계 결과와 함께 지원 티켓을 제출하십시오. 브라우저 포털 애플리케이션 액세스와 관련된 문제의 경우, 다음 질문에 대한 답변도 포함하십시오:
- 영향을 받은 애플리케이션 서버는 무엇입니까? (IIS, Nginx, 등)
- 애플리케이션이 추가 인증이 필요한가요?
- 사용자가 애플리케이션 로그 또는 구성 파일에 액세스할 수 있습니까? 그렇다면, 이러한 로그가 문제를 포착합니까?
- 사용자가 SDP 포털에 접속하는 위치는 어디입니까?
- 사용자가 Cato 클라이언트를 사용하거나 소켓 사이트 뒤에 있을 때 애플리케이션에 연결할 수 있습니까?
- 그 사이에 로드 밸런서/API 서버/방화벽이 있습니까?
댓글 0개
댓글을 남기려면 로그인하세요.